Die Schwachstelle steckt im Modul mod_proxy_ajp des Apache HTTP Server. Dieses Modul leitet Anfragen über das AJP-Protokoll an einen nachgelagerten Anwendungsserver weiter. Verbindet sich mod_proxy_ajp mit einem bösartigen AJP-Server, kann dieser eine manipulierte AJP-Antwort zurücksenden und das Modul so dazu bringen, vier vom Angreifer kontrollierte Bytes über das Ende eines Puffers im Heap-Speicher hinaus zu schreiben. Es handelt sich also um einen Heap-basierten Pufferüberlauf, der durch die Antwort der Gegenstelle ausgelöst wird – nicht durch den Client, sondern durch den Server, mit dem das Modul kommuniziert. Da der Angreifer dabei den Inhalt der überschriebenen Bytes bestimmen kann, lässt sich angrenzender Speicher gezielt verfälschen, was den Webserver-Prozess stören oder seinen Speicher kompromittieren kann. Betroffen sind Installationen, die mod_proxy_ajp gegen einen nicht vertrauenswürdigen oder kompromittierten AJP-Server einsetzen.